[Résolu] [résolu] infecter par virtumonde / vundo help please

[Bilifly]

Tu as formaté ? O_o

Virus dans explorer.exe ? tu peux être plus précis ?

[phantom1283]

voilà le scan de kaspersky online

Non j'ai formaté il y a 4 jours environ... et avant hier j'ai été infecté et ait commencé mes recherche frénétique de solution.

J'ai enlever les option de démarrage et ça continue de me dire "un virus inconnu à été bloqué et certaine fonction du programmes ont été désactivées par mesure de précaution ou un truc du genre . Quand je regarde l'emplacement il se trouve que le virus n'est autre que explorer.exe... mais ça explique pourquoi j'ai eu qu'une seul fenêtre intempestive... après quelques recherches poussées sur tout ce que j'ai pu trouvé d'anormal j'en ai déduis que c'était vundo qui m'avait infecté... simple recherche google.



--------------------------------------
apparement je suis pas infecté que par virtumonde... c'est en forgant qu'on devient forgeront... dites-moi si j'ai juste je met en gras les truc qui me semble suspect (on va prendre ça comme un jeux ^^)
--------------------------------------



C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Thomas\Application Data\Mozilla\Firefox\Profiles\rmasxexh.default\cert8.db L'objet est verrouillé ignoré
C:\Documents and Settings\Thomas\Application Data\Mozilla\Firefox\Profiles\rmasxexh.default\formhistory.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Thomas\Application Data\Mozilla\Firefox\Profiles\rmasxexh.default\history.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Thomas\Application Data\Mozilla\Firefox\Profiles\rmasxexh.default\key3.db L'objet est verrouillé ignoré
C:\Documents and Settings\Thomas\Application Data\Mozilla\Firefox\Profiles\rmasxexh.default\parent.lock L'objet est verrouillé ignoré
C:\Documents and Settings\Thomas\Application Data\Mozilla\Firefox\Profiles\rmasxexh.default\search.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Thomas\Application Data\Mozilla\Firefox\Profiles\rmasxexh.default\urlclassifier2.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\Thomas\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Thomas\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Thomas\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\Thomas\Local Settings\Application Data\Mozilla\Firefox\Profiles\rmasxexh.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré
C:\Documents and Settings\Thomas\Local Settings\Application Data\Mozilla\Firefox\Profiles\rmasxexh.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré
C:\Documents and Settings\Thomas\Local Settings\Application Data\Mozilla\Firefox\Profiles\rmasxexh.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré
C:\Documents and Settings\Thomas\Local Settings\Application Data\Mozilla\Firefox\Profiles\rmasxexh.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré
C:\Documents and Settings\Thomas\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Thomas\Local Settings\Historique\History.IE5\MSHist012007062620070627\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Thomas\Local Settings\Temp\~DF66CB.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\Thomas\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\Thomas\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\Thomas\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Program Files\mIRC\mirc.exe Infecté : not-a-virus:Client-IRC.Win32.mIRC.616 ignoré
C:\Program Files\Panda Software\Panda Internet Security 2007\AntiSpam\MshConf\scoffset.bin.incr L'objet est verrouillé ignoré
C:\Program Files\Panda Software\Panda Internet Security 2007\f4d4851e8935eebef0f2eb52b3212bc9PSK_NAMES L'objet est verrouillé ignoré
C:\Program Files\Panda Software\Panda Internet Security 2007\f4d4851e8935eebef0f2eb52b3212bc9PSK_NAMES2 L'objet est verrouillé ignoré
C:\Program Files\Panda Software\Panda Internet Security 2007\Temp\qrt525.tmp Infecté : not-a-virus:AdWare.Win32.Virtumonde.jp ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\VundoFix Backups\pmnlk.dll.bad Infecté : not-a-virus:AdWare.Win32.Virtumonde.fp ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\EventCache\{0DC98B45-98CA-4077-93D4-31EB086D03B5}.bin L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\efcbcdc.dll Infecté : not-a-virus:AdWare.Win32.Virtumonde.jp ignoré
C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré
C:\WINDOWS\system32\jkkjgdc.dll Infecté : not-a-virus:AdWare.Win32.Virtumonde.jp ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\winmyy32.dll Infecté : Trojan.Win32.Dialer.qn ignoré
C:\WINDOWS\system32\wvurrro.dll Infecté : not-a-virus:AdWare.Win32.Virtumonde.jp ignoré
C:\WINDOWS\Temp\win5E.tmp.exe Infecté : Trojan.Win32.Dialer.qn ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
D:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré

Analyse terminée.

[Bilifly]

Supprimes les fichiers en gras suivants en mode sans echec :

C:\Program Files\mIRC\mirc.exe (Désinstaller mIRC)
C:\Program Files\Panda Software\Panda Internet Security 2007\Temp\qrt525.tmp
C:\VundoFix Backups
C:\WINDOWS\system32\efcbcdc.dll
C:\WINDOWS\system32\jkkjgdc.dll
C:\WINDOWS\system32\winmyy32.dll
C:\WINDOWS\system32\wvurrro.dll
C:\WINDOWS\Temp\win5E.tmp.exe

Puis vides la corbeille
Redémarres normalement sous Windows
Dis moi ensuite les fichiers que tu n'arrives pas à supprimer

A suivre

[phantom1283]

Tu devais surement t'attendre à quelque chose... lol

Seul jkkjgdc.dll et efcbcdc.dll n'ont pas été supprimé...

[Bilifly]

Ok, essaye avec une fenêtre MS-DOS :

Démarrer
Exécuter
Tapes cmd
Ok

Puis tapes (copie plutôt la ligne en gras) :

del C:\WINDOWS\system32\efcbcdc.dll
(Valider par Entrée)
del C:\WINDOWS\system32\jkkjgdc.dll
(Valider par Entrée)

Tout ceci toujours en mode sans echec

A suivre

[phantom1283]

désolé jme suis gourré sur le nom d'un des DLL... mais j'ai quand même essayer de le supprimer.


jkkjgdc.dll ---> impossible de supprimer le fichier car il est utilisé par un autre processus ou protégé en ecriture
winmyy32.dll ---> impossible de supprimé le fichier. Accès refusé

[Bilifly]

Bon on va utilisé les grands moyens

Télécharges ceci sur ton bureau :

http://download.bleepingcomputer.com/spy...x.exe

Lance-le
Sélectionnes ce texte en gras :

C:\WINDOWS\system32\jkkjgdc.dll
C:\WINDOWS\system32\winmyy32.dll

Clic droit >> Copier

Puis sous KillBox, coches la case "Delete on Reboot"
Clic sur "All Files"
Clic sur Options >> coches Remove Directories
Clic sur End Explorer Shell while Killing File
Puis, sur le haut à gauche de la petite fenêtre, clic sur "File"
Paste from clipboard
Et clic sur le bouton rond rouge avec une croix blanche
Tu auras ce message : "File with be deleted on next reboot, Process and Reboot now ?" tu clic sur "Yes"
Puis tu laisses redémarrer le PC

Si cela ne fonctionne pas en mode normal (sous Windows), essaye la même manip en mode sans echec

A suivre

[phantom1283]

J'ai déjà essayer killbox sur jkkjgdc.dll... ça a pas marché...

Je viens de réessayer et ça a marcher partiellement... jkkjgdc.dll est toujours là mais l'autre est effacer apparement... mais j'ai toujours le même message de mon antivirus...

[Bilifly]

Et Unlocker tu as essayé .?

[phantom1283]

Je viens de le faire... figure toi que je crois que ça a definitivement viré le DLL... mais mon PC boot plus complètement... il freeze au bout d'une minute et j'peut lancer aucune application...

En fait ça m'as fait au moment de l'effacement :

*ecran bleu*

erreur système irrécupérable . logon c'est terminé de façon innatendue...


la c'est la 4ème fois que je tente le reboot mais faut dire que j'ai jamais vu une erreur pareil